边界无限韩群：以RASP及ADR技术赋予应用原生安全能力

应用程序已经成为网络黑客想要渗透到企业内部的绝佳目标， Gartner 提出的运行时应用自我保护技术(RASP)通常内置在一个应用程序或应用程序运行时环境中，能够控制应用程序的执行，并检测漏洞以防止实时攻击，目前备受业界关注，并在DevOps模式和云原生环境中大显身手，市场潜力巨大。
 
2023CCS大会上，专注于RASP技术及应用安全防护的北京边界无限科技有限公司CMO韩群做客大会独家战略合作媒体安全419采访间，畅谈RASP技术进化趋势以及应用安全市场发展变化。
   
以下为本次访谈实录：



安全419：
边界无限是一家非常年轻的公司，业务所属赛道也非常新，但这几年在业内已经小有名气，请介绍一下公司的发展历程，以及目前在团队、业务以及经营等各方面的整体情况。
 
韩群：
边界无限成立于2019年，我们是一家攻防与技术创新双驱动的安全创业新锐公司，业务主要方向是安全服务、应用安全以及云原生安全。我们安服团队的攻防实力处于整个行业的头部，在历届国家级红蓝对抗攻防演练，以及各部委、省、市，包括一些央国企的内部演练中，都取得了比较靠前的名次。
 
安全行业有句话叫做“未知攻焉知防”，因为我们是做攻防起家的，能了解到一些甲方客户在防守方面的痛点，所以我们打造了一款应用安全产品，基于RASP技术，也就是应用运行时的自我防护技术。我们在该技术上做了一些系统的升级，成为了业界比较领先乃至是唯一一家将其升级到ADR层面的产品。ADR即为应用检测与响应解决方案，目前我们在国内甚至说在国内国际都是双领先的一家应用安全公司。
 
安全419：
业界认识边界无限是源于RASP这个关键词，行业也有多家企业专注于RASP。在您看来，RASP作为一条比较窄赛道，为什么边界无限一开始会选择这样一个方向呢？
 
韩群：
我们公司的攻防属性比较强，攻防渗透已经深入到公司的基因里了。另一方面在于，很多客户在攻防演练中的主要失分来自于应用漏洞，不管是自己研发的还是外采的应用，因其漏洞被黑客利用而造成。因为我们可以深入到客户网络和应用的内部，看到我们自己红队能攻进去的方向，所以可以帮客户更好地去防守这一块，解决客户的痛点跟需求，因此我们做了这款产品。
 
RASP虽然是一个比较细分的赛道，但是基于目前的安全趋势，同样算是比较热门的赛道。类似于log4j漏洞这样的核弹级漏洞已经越来越多，客户在防护时属于被无感攻入，处于疲于应对的状态。长期以来，业界针对内存马以及0Day漏洞的防御，缺少专项的解决方案。2014年，Gartner将RASP列为应用安全领域的关键技术趋势，此后的几年，由于各方面的原因，该技术在国内发展一直都不温不火。随着log4j漏洞的爆发，由于我们的产品是可以天然免疫这款漏洞的，并且在最几届的攻防演练过程中，大家发现红队攻击的手段越来越倚重于0Day漏洞以及内存马，因此客户的认知度在逐渐上升，这也是我们看到的一个很大的市场潜力。从大趋势上来讲，目前的项目可能还没有特别大，但是市场在未来可能能达到百亿规模，这也算一个比较大的赛道了。
 
我们还研发了一款容器安全防护的产品，可以与RASP相互配合，全面保障应用的安全。因为许多企业虽然在开发阶段通过测试等手段检出了很多漏洞，但应用上线运行后，又爆发出不少新的问题，基于业务，在运行状态下保护应用就需要用到RASP相关技术，这一市场趋势有目共睹。与此同时，我们的能力可以和API安全、数据安全、容器安全相结合，将价值提升到CNAPP云原生应用保护平台的层面。
 
目前我们公司的规模还不算大，不到百人，在该领域已经有所沉淀和积累，我们要把握好应用运行时防守的态势与市场契机，进一步丰富产线，朝着CNAPP云原生应用保护平台发展，为客户提供整体的、全面的应用安全保护。
 
安全419：
ADR产品会取代传统的网络安全防护产品吗？
 
韩群：
我们做安全有一个共识——没有绝对的安全，也没有一款产品是一劳永逸帮助客户解决所有安全问题的，每类安全产品各司其职，各有所长。传统的安全防护属于边界防护模式，随着攻击手段愈来愈多，0Day漏洞及内存马被大量利用，过往的排查方式效率低下，防护规则陈旧，ADR产品刚好顺应了目前应用安全防护的技术趋势，需要内外结合、纵深防御、联防联控，跟应用本身进行强绑定。
 
因此，RASP及ADR产品的历史使命并非取代传统网络安全产品，相反地，可以跟传统的防护手段做结合，形成整体的纵深防护方案。从落地反馈看，我们许多客户在已经部署了WAF等安全产品的情况下，依然会采购我们的产品，有明确的用武之地，我们跟其他安全产品供应商也可以发展为合作关系。
 
安全419：
此前提到，RASP在诞生后的几年内发展一直不温不火，这是什么原因造成的，目前的趋势改善又是基于什么因素？
 
韩群：
广大的甲方客户对于RASP等嵌入式技术有一个接受过程，依照目前的发展态势，我们持谨慎乐观的态度。RASP以探针的形式注入，跟应用、业务是强绑定的，我们会尽量地做到轻量化，不去影响客户的业务运行。从实网运行状况看，我们产品的内存占用率是比较良好的，对业务的影响并不大。由于这项技术嵌入到了客户应用内部，所以客户保持谨慎是可以理解的，我们在产品推广部署过程中，会因地制宜地根据每个客户的网络环境、应用版本的不同定制适应的解决方案，帮助客户做好测试，再逐步上线到整个生产网，也会帮客户做好安全运营。
 
不仅是RASP，许多探针类的技术如今都在大力发展，被更多客户所认可接受。每种技术、产品的成长迭代都有其成熟度曲线，目前RASP进入了更蓬勃的发展阶段，在金融、能源、电力、运营商、政府及互联网领域的应用越来越普遍，尤其在刚结束的攻防对抗演练中，许多客户部署RASP产品作为防御内存马注入的应急查杀手段，或作为日常防护，都取得了较好的安全效果。
 
安全419：
在这条赛道中，边界无限取得了怎样的成绩？
 
韩群：
在RASP及ADR方向上，我们不去夸下海口说自己为客户解决了多么复杂的问题，但是，在我们擅长的几个方面，比如内存马防御、0Day漏洞防御、API资产梳理、开源组件风险治理，老旧业务风险治理等，我们都做到了业界领先水平。
 
安全行业百花齐放，不同厂商各有所长，同时行业发展也是良莠不齐的，有一些厂商会基于开源工作做修改进而包装成自己的产品，但在实际应用中并不抗打，我们的产品经过了客户实网测试，经受了市场验证，在行业内是有口皆碑的。
 
安全419：
您作为公司的CMO，担负着市场营销推广的重任，为了公司更好地发展，除了自身产品要过硬之外，在行业合作生态建设层面，有什么想要跟业界传递的消息？
 
韩群：
我们的合作态度非常明确，就是坚持开放共赢。目前的经济大环境并不是特别好，安全行业形势也会受到影响，我们希望跟广大的业界伙伴一起共同推进共同拓展，同舟共济。正如此次来到2023CCS大会，借助CCS以及安全419搭建的平台，推动优秀企业之间更多合作模式的探索和业务合作的洽谈，我们一直用非常开放的态度拥抱合作的可能性。